PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN
TUGAS AKHIR Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, di Program Studi Teknik Informatika, Universitas Pasundan Bandung
Disusun oleh : Basofi Adi Wicaksono Nrp. 12.304.0174
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNIK UNIVERSITAS PASUNDAN BANDUNG JANUARI 2017
LEMBAR PENGESAHAN LAPORAN TUGAS AKHIR
Telah diujikan dan dipertahankan dalam Sidang Sarjana Program Studi Teknik Informatika Universitas Pasundan Bandung, pada hari dan tanggal sidang sesuai berita acara sidang, tugas akhir dari : Nama : Basofi Adi Wicaksono Nrp : 12.304.0174
Dengan judul : “PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN”
Telah disetujui dan disahkan Bandung, 24 Januari 2017
Menyetujui,
Pembimbing Utama
Pembimbing Pendamping
(Iwan Kurniawan, ST., MT)
(Rita Rijayanti, ST., MT)
LEMBAR PERNYATAAN KEASLIAN TUGAS AKHIR
Saya menyatakan dengan sesungguhnya bahwa : 1. Tugas akhir ini adalah benar – benar asli dan belum pernah diajukan untuk mendapatkan gelar akademik, baik di Universitas Pasundan Bandung maupun di Perguruan Tinggi lainnya. 2. Tugas akhir ini merupakan gagasan, rumusan dan penelitian saya sendiri, tanpa bantuan pihak lain kecuali arahan dari tim Dosen Pembimbing. 3. Dalam tugas akhir ini tidak terdapat karya atau pendapat orang lain, kecuali bagian – bagian tertentu dalam penulisan laporan Tugas Akhir yang saya kutip dari karya orang lain telah dituliskan dalam sumbernya secara jelas sesuai dengan norma, kaidah, dan etika penulisan karya ilmiah, serta disebutkan dalam Daftar Pustaka pada tugas akhir ini. 4. Kakas, perangkat lunak, dan alat bantu kerja lainnya yang digunakan dalam penelitian ini sepenuhnya menjadi tanggung jawab saya, bukan tanggung jawab Universitas Pasundan Bandung.
Apabila dikemudian hari ditemukan seluruh atau sebagian laporan tugas akhir ini bukan hasil karya saya sendiri atau adanya plagiasi dalam bagian – bagian tertentu, saya bersedia menerima sanksi akademik, termasuk pencabutan gelar akademik yang saya sandang sesuai dengan norma yang berlaku di Universitas Pasundan, serta perundang- undangan lainnya.
Bandung, 24 Januari 2017 Yang membuat pernyataan, Materai 6000,-
( Basofi Adi Wicaksono ) NRP. 12.304.0174
i
DAFTAR ISI LEMBAR PERNYATAAN KEASLIAN TUGAS AKHIR ....................................................................... i DAFTAR ISI ............................................................................................................................................... ii DAFTAR ISTILAH ................................................................................................................................... iv DAFTAR TABEL ....................................................................................................................................... v DAFTAR GAMBAR ................................................................................................................................. vi DAFTAR LAMPIRAN ............................................................................................................................. vii BAB 1 PENDAHULUAN ....................................................................................................................... 1-1 1.1 Latar Belakang Tugas Akhir .................................................................................................... 1-1 1.2 Identifikasi Maslah ................................................................................................................... 1-1 1.3 Tujuan dan Solusi Tugas Akhir................................................................................................ 1-2 1.4 Lingkup Tugas Akhir ............................................................................................................... 1-2 1.5 Metodologi Tugas Akhir .......................................................................................................... 1-2 1.6 Sistematika Penulisan Tugas Akhir ......................................................................................... 1-3 BAB 2 LANDASAN TEORI ................................................................................................................... 2-1 2.1 Penelitian Terdahulu ................................................................................................................. 2-1 2.2 Definisi Perancangan ................................................................................................................ 2-1 2.3 Definisi Perlindungan Perangkat Lunak .................................................................................. 2-2 2.4 Sejarah Perkembangan Perangkat Lunak ................................................................................ 2-2 2.5 Definisi Aset Informasi ............................................................................................................ 2-4 2.6 Definisi Risiko .......................................................................................................................... 2-6 2.7 INTERNATIONAL STANDARD ORGANIZATION................................................................. 2-6 2.7.1 SNI ISO/IEC 27001:2009 .............................................................................................. 2-6 2.7.2 Risk Assessment ............................................................................................................ 2-8 2.8 Malicious Code ......................................................................................................................... 2-9 2.8.1 Macam-Macam Malicious Code ................................................................................. 2-10 BAB 3 SKEMA PENELITIAN ............................................................................................................... 3-1 3.1 Rancangan Penelitian ............................................................................................................... 3-1 3.2 Peta Analisis ............................................................................................................................. 3-2 3.2.1 Langkah-Langkah Analisis ............................................................................................ 3-3 3.3 Analisis Perancangan Perlindungan Keamanan Perangkat Lunak Menggunakan SNI ISO/IEC 27001:2009 ....................................................................................................................................... 3-4 3.4 Kerangka Pemikiran Teoritis ................................................................................................... 3-4 3.5 Tempat Dan Objek Penelitian .................................................................................................. 3-5 3.5.1 Sejarah Singkat............................................................................................................... 3-5 3.5.2 Profil FT UNPAS ........................................................................................................... 3-5 3.5.3 Visi, Misi dan Tujuan Fakultas Teknik Universitas Pasundan .................................... 3-5 ii
3.5.4 Struktur Organisasi ........................................................................................................ 3-6 3.6 Keadaan tempat penelitian mengenai Kebijakan SMKI saat ini ............................................ 3-6 3.7 Identifikasi Risiko ..................................................................................................................... 3-8 3.7.1 Analisis Aset .................................................................................................................. 3-8 3.7.2 Analisis Ancaman Dan Kerentanan .............................................................................. 3-9 3.7.3 Dampak Risiko Terhadap Perangkat Lunak ................................................................. 3-9 3.7.4 Risk Assessment (Penilaian Risiko) .............................................................................3-10 BAB 4 PENANGANAN RISIKO ........................................................................................................... 4-1 4.1 Pengendalian Risiko ................................................................................................................. 4-1 4.1.1 Pengendalian Ancaman Malicious Code. ..................................................................... 4-1 4.1.2 Pengendalian Kerentanan .............................................................................................. 4-4 4.2 Pelaporan Insiden Keamanan ................................................................................................... 4-4 BAB 5 KESIMPULAN DAN SARAN ................................................................................................... 4-5 5.1 Kesimpulan ............................................................................................................................... 4-5 5.2 Saran .......................................................................................................................................... 4-5 DAFTAR PUSTAKA LAMPIRAN
iii
DAFTAR ISTILAH No
Istilah
1.
ISO
2.
SNI ISO/IEC
3.
Software
4.
Hacker
Pedoman atau persyaratan mengenai keamanan informasi.
5.
Script
Bahasa pemrograman.
6.
ISMS (Information Security Management System)
7.
Confidentiality
8.
Integrity
9.
Availability
10.
PDCA (Plan-Do-Check-Act)
11.
SMKI
12.
Security
13.
Information
14.
Risk
15.
Malicious code
16.
Mitigasi
mitigasi adalah serangkaian upaya untuk mengurangi resiko.
17.
Cracking
Proses pemecahan.
18.
SQL Injection
19.
Cross site script (XSS)
20.
Bug program
21.
Social Engineering
Deskripsi Standar pengembang terbesar di dunia yang bertanggung jawab dalam mengoordinasikan penyusunan standar. Standar yang mengadopsi identik terhadap standar ISO27001:2005. Perangkat lunak.
Sebuah rencana manajemen yang menspesifikasikan kebutuhan-kebutuhan yang diperlukan untuk implementasi kontrol keamanan yang telah disesuaikan dengan kebutuhan organisasi. Suatu upaya untuk menghindari pengungkapan secara tidak sah terhadap informasi yang bersifat rahasia. Diajukan untuk menjaga keakuratan suatu informasi Pengguna sistem yang berhak memiliki hak akses terhadap sistem dan memastikan bahwa informasi atau sumber daya akan selalu tersedia ketika dibutuhkan. Proses atau gambaran yang memperlihatkan persyaratan keamanan informasi. Sebuah rencana manajemen yang menspesifikasikan kebutuhan-kebutuhan yang diperlukan untuk implementasi kontrol keamanan yang telah disesuaikan dengan kebutuhan organisasi. Tindakan pencegahan dari serangan. Pengguna internal yang mempunyai akses bebas terhadap data dan informasi. Klasifikasi kemanan informasi yang dapat diakses secara umum. kode berbahaya yang memodifikasi atau merusak data, mencuri data, memungkinkan eksploitasi akses tidak sah atau merusak sistem, dan melakukan sesuatu yang pengguna tidak berniat untuk melakukannya.
Hal ini dilakukan dengan mencoba memasukkan suatu script untuk menampilkan halaman error di browser, dan biasanya halaman error akan menampilkan paling tidak struktur dari hirarki server dan logika program. Metode ini memasukan “karakter” query tertentu pada sebuah “text area” atau di address browser dengan perintah-perintah dasar SQL seperti SELECT, WHERE, CREATE, UPDATE, dan lain-lain. Melakukan code injections dengan malicious web pengguna kepada halaman web yang dilihat oleh user lainnya dimana memungkinkan penyerang untuk mencuri cookies, menipu user dengan memberikan credentials mereka, memodifikasi penampilan page, mengeksekusi seluruh sort dari malicious java-script code. Merupakan suatu kesalahan atau cacat pada sebuah software atau hardware yang menyebabkan software atau hardware tersebut tidak jalan sebagaimana mestinya Suatu teknik pencurian atau pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial.
iv
DAFTAR TABEL Tabel 2.1 Penelitian Terdahulu ................................................................................................................ 2-1 Tabel 2.2 Severity ..................................................................................................................................... 2-8 Tabel 2.3 Probability ................................................................................................................................ 2-8 Tabel 2.4 Nilai Risiko .............................................................................................................................. 2-9 Tabel 2.5 Tingkat Risiko .......................................................................................................................... 2-9 Tabel 3.1 Langkah analisis ....................................................................................................................... 3-3 Tabel 3.2 Analisis Peran........................................................................................................................... 3-4 Tabel 3.3 Kebijakan Positif ...................................................................................................................... 3-8 Tabel 3.4 Kebijakan Negatif .................................................................................................................... 3-8 Tabel 3.5 Dampak Risiko ......................................................................................................................... 3-9 Tabel 3.6 Penilaian Risiko .....................................................................................................................3-10 Tabel 4.1 Pengendalian Malcode ............................................................................................................. 4-1 Tabel 4.2 Pengendalian Kerentanan ........................................................................................................ 4-4
v
DAFTAR GAMBAR
Gambar 1.1 Metodelogi Tugas Akhir ...................................................................................................... 1-2 Gambar 2.1 Life Cycle Software [ISO09] ............................................................................................... 2-4 Gambar 2.2 Model PDCA [ISO09] ......................................................................................................... 2-7 Gambar 2.3 Nilai Risiko [DIR13] ............................................................................................................ 2-9 Gambar 2.4 Malicious Code [HEI04] ....................................................................................................2-10 Gambar 2.5 Virus [MUS08] ...................................................................................................................2-12 Gambar 2.6 Tipe virus [HEI04] .............................................................................................................2-13 Gambar 2.7 Program file virus [HEI04] ................................................................................................2-13 Gambar 3.1 Kerangka Tugas Akhir ......................................................................................................... 3-1 Gambar 3.2 Kerangka Tugas Akhir ......................................................................................................... 3-2 Gambar 3.3 Skema Analisis Tugas Akhir ............................................................................................... 3-3 Gambar 3.4 Struktur Organisasi .............................................................................................................. 3-6
vi
DAFTAR LAMPIRAN LAMPIRAN A DOKUMEN WAWANCARA 1 .............................................................................. A-1 Lampiran A Dokumen wawancara 1 .................................................................................................... A-1 Lampiran A Dokumen wawancara 1 .................................................................................................... A-2 Lampiran A Dokumen wawancara 1 .................................................................................................... A-3 Lampiran A Dokumen wawancara 1 .................................................................................................... A-4 Lampiran A Dokumen wawancara 1 .................................................................................................... A-5 Lampiran A Dokumen wawancara 1 .................................................................................................... A-6 Lampiran A Dokumen wawancara 1 .................................................................................................... A-7 Lampiran A Dokumen wawancara 1 .................................................................................................... A-8 Lampiran A Dokumen wawancara 1 .................................................................................................... A-9 Lampiran A Dokumen wawancara 1 .................................................................................................. A-10 LAMPIRAN B DOKUMEN WAWANCARA 2 ................................................................................ B-1 Lampiran B Dokumen wawancara 2 .................................................................................................... B-1 Lampiran B Dokumen wawancara 2 .................................................................................................... B-2 Lampiran B Dokumen wawancara 2 .................................................................................................... B-3 Lampiran B Dokumen wawancara 2 .................................................................................................... B-4 Lampiran B Dokumen wawancara 2 .................................................................................................... B-5 Lampiran B Dokumen wawancara 2 .................................................................................................... B-6
vii
